Supervisión de los cambios en los AWS recursos con Amazon SQS - AWS Config
Permisos para Amazon SQS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisión de los cambios en los AWS recursos con Amazon SQS

AWS Config utiliza Amazon Simple Notification Service (SNS) para enviarle notificaciones cada vez que se crea, actualiza o modifica un AWS recurso compatible como resultado de la actividad de la API del usuario. Sin embargo, es posible que solo le interesen determinados cambios en la configuración de los recursos. Por ejemplo, puede que considere esencial saber si alguien modifica la configuración de un grupo de seguridad, pero no necesita que se le informe cada vez que se produzca un cambio en las etiquetas de las instancias de Amazon EC2. O es posible que desee escribir un programa que realice acciones específicas cuando se actualizan recursos concretos. Por ejemplo, puede que desee iniciar un flujo de trabajo determinado cuando cambie la configuración de un grupo de seguridad. Si desea consumir los datos de estas u otras formas mediante programación, utilice una cola de AWS Config Amazon Simple Queue Service como punto de enlace de notificación para Amazon SNS.

nota

Las notificaciones también pueden proceder de Amazon SNS en forma de correo electrónico, un SMS (servicio de mensajes cortos) para teléfonos móviles y smartphones que admiten SMS, un mensaje de notificación a una aplicación en un dispositivo móvil o un mensaje de notificación a uno o más puntos de conexión HTTP o HTTPS.

Puede hacer que una sola cola de SQS se suscriba a varios temas, ya sea que tenga un tema para cada región o un tema para cada cuenta de cada región. Debe suscribir la cola al tema de SNS que desee. (Puede suscribir varias colas a un tema de SNS). Para obtener más información, consulte Colas de distribución ramificada a Amazon SQS.

Permisos para Amazon SQS

Para usar Amazon SQS con AWS Config, debe configurar una política que conceda permisos a su cuenta para realizar todas las acciones permitidas en una cola de SQS. La siguiente política de ejemplo concede al número de cuenta 111122223333 y al número de cuenta 444455556666 permiso para enviar mensajes sobre cada cambio de configuración a la cola arn:aws:sqs:us-east-2:444455556666:queue1.

{
  "Version": "2012-10-17",
  "Id": "Queue1_Policy_UUID",
  "Statement": 
    {
       "Sid":"Queue1_SendMessage",
       "Effect": "Allow",
       "Principal": {
            "AWS": ["111122223333","444455556666"]
         },
        "Action": "sqs:SendMessage",
        "Resource": "arn:aws:sqs:us-east-2:444455556666:queue1"
     }
}

También debe crear una política que conceda permisos de conexión entre un tema de SNS y la cola SQS que se suscribe a ese tema. El siguiente es un ejemplo de política que permite al tema de SNS con el nombre de recurso de Amazon (ARN) arn:aws:sns:us-east- 2:111122223333:test-topic realizar cualquier acción en la cola denominada arn:aws:sqs:us-east- 2:111122223333:. test-topic-queue

nota

La cuenta para el tema de SNS y la cola de SQS deben estar en la misma región.

{
  "Version": "2012-10-17",
  "Id": "SNStoSQS",
  "Statement": 
    {
      "Sid":"rule1",
      "Effect": "Allow",
      "Principal": {
        "Service": "sns.amazonaws.com"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:us-east-2:111122223333:test-topic-queue",
      "Condition" : {
        "StringEquals" : {
          "aws:SourceArn":"arn:aws:sns:us-east-2:111122223333:test-topic"
        }
      }
    }
}

Cada política puede incluir instrucciones que abarquen una sola cola, no varias. Para obtener información sobre otras restricciones en las políticas de Amazon SQS, consulte Información especial sobre políticas de Amazon SQS.